Cyberrisque – Notion et toile de fond de la nouvelle solution pour le pool hôtellerie et restauration
Expertise 06.05.2021
Voilà bien longtemps que le cyberrisque n’est plus un phénomène, mais bien une menace réelle. Le secteur des assurances considère celui-ci, avec la pandémie, comme les deux grands dangers qui menacent l’économie et la société à l’avenir. Notre dépendance aux systèmes informatiques, à Internet, aux serveurs externes, etc. s’accroît d’année en année. Nous sommes vulnérables et pouvons être victimes de chantage et en effet, ces derniers temps, de plus en plus d’hôteliers et même de restaurateurs ont été victimes de cyberattaques. La couverture d’assurance est de plus en plus demandée. Intégrer le cyberrisque dans notre solution de pool en est donc la conséquence logique.
Le terme de cyberrisque fait référence à une multitude de risques liés à la technologie ou aux informations d’une entreprise. En font partie l’usurpation d’identité, la divulgation d’informations à caractère sensible, l’interruption de l’activité à la suite d’une cyberattaque, l’endommagement de données par un pirate, le vol de données précieuses, l’introduction de logiciels malveillants et autres codes informatiques nuisibles ou encore les erreurs commises par les propres collaborateurs de l’entreprise ayant pour conséquence la divulgation d’informations confidentielles ou portant atteinte à la réputation de l’entreprise.
Non seulement les cyberrisques impliquent des risques pour la propre infrastructure informatique de l’entreprise, mais ils vont bien au-delà en touchant des questions juridiques délicates dans les domaines comme la législation sur la protection des données, le droit de la personnalité et le droit en matière de responsabilité civile. Le règlement général européen sur la protection des données (RGPD-UE), sur lequel s’aligne également la loi suisse sur la protection des données (LPD), en est un exemple. Ce règlement stipule entre autres que les entreprises obtenant des données personnelles d’utilisateurs finaux sont également responsables de ces données lorsque celles-ci sont transmises à des fournisseurs tiers. Pour l’hôtellerie, mais aussi de plus en plus pour la restauration, les dispositions de ce type sont d’une grande pertinence car de nombreuses réservations, y compris les données requises pour ce faire, sont effectuées via des portails en ligne.
Voici les cyberrisques classiques :
Logiciels de rançon (ransomware) : dans ce cas, un logiciel malveillant infecte l’ordinateur de la victime pour y crypter des données. Cela conduit à la paralysie des systèmes informatiques concernés. Pour un hôtel par exemple, cela peut signifier que l’ensemble des systèmes (logiciel de réservation, logiciel de gestion des clés des chambres, etc.) ne sont plus opérationnels.
Hameçonnage (phishing) : cela consiste à utiliser un « appât » (par ex. un e-mail fictif) pour obtenir le mot de passe et/ou d’autres informations de la victime. La plupart du temps, ce courriel s’accompagne d’un lien vers un site Internet préparé qui, lorsqu’on l’ouvre, charge directement un logiciel malveillant sur l’ordinateur de la victime ou demande à la victime de fournir des données telles que des mots de passe ou des coordonnées bancaires.
Fraude à la carte de crédit : il s’agit généralement de l’utilisation de numéros de cartes de crédit volées ou de la falsification des données de cartes de crédit. Cela peut prendre plusieurs formes : par exemple le fait de demander directement des données, au moyen d’un e-mail falsifié, ou lorsque le vol des données a lieu via un site web non sécurisé. Lorsque le système de l’établissement est touché, cela peut affecter l’entreprise, mais aussi directement les clients.
Insider : les attaques perpétrées par des collaborateurs sont souvent une menace sous-estimée. Les enquêtes sur les dommages dans le domaine des cyberrisques montrent qu’un pourcentage élevé d’attaques et de fuites de données est perpétré ou rendu possible par des collaborateurs de l’entreprise.
Fraude au PDG : cela désigne le fait de donner l’ordre à des comptables ou à d’autres employés qui sont autorisés à effectuer des paiements, de transférer des sommes importantes sur le compte d’un tiers. Pour ce faire, les malfaiteurs usurpent l’identité du PDG et exigent souvent la plus grande discrétion de la part du collaborateur concerné.
Assurabilité des cyberrisques
Le cyberrisque est un produit d’assurance encore très récent. Les solutions d’assurance actuelles sont loin de couvrir tous les cyber-incidents. Par exemple, l’utilisation frauduleuse d’une carte de crédit comme mentionné ci-dessus - c’est-à-dire le paiement avec une carte de crédit volée - ou la fraude au PDG ne sont typiquement pas couvertes par une assurance cyberrisque (catalogue des exclusions générales de l'assurance Zurich > voir art. 5 des CGA). Le problème majeur rencontré par l’assureur est que les dommages liés aux cyberrisques ne peuvent guère être calculés de manière fiable étant donné qu’en plus des coûts directement imputables, il existe aussi des coûts considérables qui ne sont pas mesurables directement, tels que les atteintes à la réputation ou les négociations par le chantage. Cependant, avec le taux croissant de sinistres, les assureurs ne cesseront d’adapter et d’améliorer leurs produits. Ce qui est clair, c’est qu’avec la menace croissante que représentent les cyberrisques, les tarifs des primes sur le marché des assurances subissent également une hausse constante.
Pour lire la suite, veuillez télécharger le PDF
Christoph Brun
Responsable de mandat senior et membre de l’encadrement